Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Tipi di risorse supportati da IAM Access Analyzer per l'accesso esterno e interno
Per gli analizzatori di accesso esterni e interni, IAM Access Analyzer analizza le politiche basate sulle risorse applicate alle risorse nella regione in cui è stato abilitato IAM Access Analyzer. AWS Vengono analizzate solo le policy basate sulle risorse. Per i dettagli su come IAM Access Analyzer genera i risultati per ogni tipo di risorsa, consulta le informazioni sul tipo di risorsa.
Nota
I tipi di risorse supportati elencati riguardano analizzatori di accesso esterni e interni. Gli analizzatori di accesso interni non supportano tutti i tipi di risorse supportati dagli analizzatori di accesso esterni. Gli analizzatori degli accessi inutilizzati supportano solo utenti e ruoli IAM. Per ulteriori informazioni, consulta Come funzionano i risultati di Sistema di analisi degli accessi IAM.
Tipi di risorse supportati per gli accessi esterni:
Tipi di risorse supportati per l'accesso interno:
Bucket Amazon Simple Storage Service
Quando IAM Access Analyzer analizza i bucket Amazon S3 per analizzatori di accesso esterni, genera un risultato quando una policy del bucket Amazon S3, una lista di controllo degli accessi (ACL) o un punto di accesso, incluso un punto di accesso multiregionale, applicato a un bucket concede l'accesso a un'entità esterna. Un'entità esterna è un'entità principale o un'altra entità che puoi utilizzare per creare un filtro che non si trova all'interno della zona di attendibilità. Ad esempio, se la policy di un bucket concede l'accesso a un altro account o consente l'accesso pubblico, Sistema di analisi degli accessi IAM genera un risultato. Tuttavia, se abiliti Block Public Access (Blocca accesso pubblico) nel bucket, puoi bloccare l'accesso a livello di account o bucket.
Per gli analizzatori di accesso interni, IAM Access Analyzer genera un risultato quando un principale (utente o ruolo) all'interno dell'organizzazione o dell'account ha accesso a un bucket Amazon S3 specificato.
Nota
Sistema di analisi degli accessi IAM non analizza la policy dei punti di accesso associata ai punti di accesso multi-account perché il punto di accesso e la relativa policy sono esterni all'account dell'analizzatore. Sistema di analisi degli accessi IAM genera un risultato pubblico quando un bucket delega l'accesso a un punto di accesso multi-account e il blocco dell'accesso pubblico non è abilitato sul bucket o sull'account. Quando abiliti l'opzione di blocco dell'accesso pubblico, il rilevamento pubblico viene risolto e Sistema di analisi degli accessi IAM genera un risultato tra account per il punto di accesso multi-account.
Le impostazioni per il blocco dell'accesso pubblico di Amazon S3 sostituiscono le policy applicate al bucket. Le impostazioni sovrascrivono anche le policy applicate ai punti di accesso del bucket. Sistema di analisi degli accessi IAM analizza le impostazioni del blocco dell'accesso pubblico a livello di bucket ogni volta che cambia una policy. Tuttavia, valuta le impostazioni del blocco dell'accesso pubblico a livello di account solo una volta ogni 6 ore. Ciò significa che Sistema di analisi degli accessi IAM potrebbe non generare o risolvere un risultato per l'accesso pubblico a un bucket per un massimo di 6 ore. Ad esempio, se hai una policy del bucket che consente l'accesso pubblico, Sistema di analisi degli accessi IAM genera un risultato per tale accesso. Se quindi abiliti il blocco dell'accesso pubblico per bloccare tutti gli accessi pubblici al bucket a livello di account, Sistema di analisi degli accessi IAM non risolve il risultato per la policy del bucket per un massimo di 6 ore, anche se tutti gli accessi pubblici al bucket sono bloccati. La risoluzione dei dati pubblici relativi ai punti di accesso multi-account può inoltre richiedere fino a 6 ore dopo l'abilitazione del blocco dell'accesso pubblico a livello di account. Le modifiche a una policy di controllo delle risorse (RCP) senza una modifica della policy del bucket non attivano una nuova scansione del bucket riportato nel risultato. In questo caso, Sistema di analisi degli accessi IAM analizza la policy nuova o aggiornata durante la scansione periodica successiva che avviene entro 24 ore.
Per un punto di accesso multi-regione, Sistema di analisi degli accessi IAM utilizza una policy stabilita per la generazione dei risultati. Sistema di analisi degli accessi IAM valuta le modifiche apportate ai punti di accesso multi-regione una volta ogni 6 ore. Ciò significa che Sistema di analisi degli accessi IAM non genera né risolve un risultato per un massimo di 6 ore, anche se viene creato o eliminato un punto di accesso multi-regione o se ne aggiorna la policy.
Bucket di directory di Amazon Simple Storage Service
I bucket di directory Amazon S3 organizzano i dati gerarchicamente in directory, a differenza della struttura di storage piatta dei bucket generici, consigliata per carichi di lavoro o applicazioni che richiedono prestazioni critiche. Per gli analizzatori di accesso esterni, IAM Access Analyzer analizza la policy relativa ai bucket di directory, incluse le condizioni contenute in una policy, che consentono a un'entità esterna di accedere a un bucket di directory.
Per gli analizzatori di accesso interni, IAM Access Analyzer genera un risultato quando un principale (utente o ruolo) all'interno dell'organizzazione o dell'account ha accesso a un bucket di directory Amazon S3 specificato.
I bucket di directory Amazon S3 supportano anche i punti di accesso, che applicano autorizzazioni e controlli di rete distinti per tutte le richieste effettuate al bucket di directory tramite il punto di accesso. Ogni punto di accesso può avere una policy del punto di accesso che funziona in combinazione con la policy del bucket allegata al bucket di directory sottostante. Con i punti di accesso per i bucket di directory, puoi limitare l'accesso a prefissi specifici, azioni API o un cloud privato virtuale (VPC).
Nota
Sistema di analisi degli accessi IAM non analizza la policy dei punti di accesso associata ai punti di accesso multi-account perché il punto di accesso e la relativa policy sono esterni all'account dell'analizzatore. Sistema di analisi degli accessi IAM genera un risultato pubblico quando un bucket delega l'accesso a un punto di accesso multi-account e il blocco dell'accesso pubblico non è abilitato sul bucket o sull'account. Quando abiliti l'opzione di blocco dell'accesso pubblico, il rilevamento pubblico viene risolto e Sistema di analisi degli accessi IAM genera un risultato tra account per il punto di accesso multi-account.
Per ulteriori informazioni sui bucket di directory Amazon S3, consulta Working with directory bucket nella Amazon Simple Storage Service User Guide.
AWS Identity and Access Management ruoli
Per i ruoli IAM, Sistema di analisi degli accessi IAM analizza le policy di attendibilità. In una policy di attendibilità per il ruolo si definiscono le entità attendibili per assumere il ruolo. Una policy di attendibilità del ruolo è una policy basata sulle risorse collegata a un ruolo in IAM. Sistema di analisi degli accessi IAM genera i risultati per i ruoli all'interno della zona di attendibilità a cui può accedere un'entità esterna che si trova al di fuori della zona di attendibilità.
Nota
Un ruolo IAM è una risorsa globale. Se una policy di attendibilità per il ruolo concede l'accesso a un'entità esterna, Sistema di analisi degli accessi IAM genera un risultato in ogni regione abilitata.
AWS Key Management Service chiavi
Infatti AWS KMS keys, IAM Access Analyzer analizza le politiche e le concessioni chiave applicate a una chiave. Sistema di analisi degli accessi IAM genera un risultato se una policy di chiave o una concessione consente a un'entità esterna di accedere alla chiave. Ad esempio, se utilizzi la chiave kms: CallerAccount condition in un'informativa politica per consentire l'accesso a tutti gli utenti di un AWS account specifico e specifichi un account diverso dall'account corrente (la zona di fiducia per l'analizzatore corrente), IAM Access Analyzer genera un risultato. Per ulteriori informazioni sulle chiavi AWS KMS condizionali nelle dichiarazioni delle politiche IAM, consulta AWS KMS Condition Keys.
Quando Sistema di analisi degli accessi IAM analizza una chiave KMS, legge i metadati della chiave, ad esempio la policy della chiave e l'elenco delle concessioni. Se la policy della chiave non consente al ruolo di Sistema di analisi degli accessi IAM di leggere i metadati della chiave, viene generato un errore di accesso negato. Ad esempio, se l'istruzione della policy di esempio seguente è l'unica policy applicata a una chiave, viene generato un errore di accesso negato in Sistema di analisi degli accessi IAM:
{ "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/Admin" }, "Action": "kms:*", "Resource": "*" }
Poiché questa istruzione consente solo al ruolo denominato Admin dell' AWS account 111122223333 di accedere alla chiave, viene generata una ricerca di errore di accesso negato perché IAM Access Analyzer non è in grado di analizzare completamente la chiave. Un risultato di errore viene visualizzato in rosso nella tabella Findings (Risultati). Il risultato è simile al seguente:
{ "error": "ACCESS_DENIED", "id": "12345678-1234-abcd-dcba-111122223333", "analyzedAt": "2019-09-16T14:24:33.352Z", "resource": "arn:aws:kms:us-west-2:1234567890:key/1a2b3c4d-5e6f-7a8b-9c0d-1a2b3c4d5e6f7g8a", "resourceType": "AWS::KMS::Key", "status": "ACTIVE", "updatedAt": "2019-09-16T14:24:33.352Z" }
Quando crei una chiave KMS, le autorizzazioni concesse per accedere alla chiave dipendono dalla modalità di creazione della chiave. Se viene visualizzato un errore di tipo Accesso negato per una risorsa chiave, applica la seguente istruzione della policy alla risorsa chiave per concedere a Sistema di analisi degli accessi IAM l'autorizzazione per accedere alla chiave.
{ "Sid": "Allow IAM Access Analyzer access to key metadata", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/aws-service-role/access-analyzer.amazonaws.com/AWSServiceRoleForAccessAnalyzer" }, "Action": [ "kms:DescribeKey", "kms:GetKeyPolicy", "kms:List*" ], "Resource": "*" },
Dopo aver ricevuto un risultato di accesso negato per una risorsa chiave KMS e quindi averlo risolto aggiornando la policy della chiave, il risultato viene aggiornato sullo stato Risolto. Se sono presenti istruzioni di policy o concessioni della chiave che concedono l'autorizzazione alla chiave per un'entità esterna, è possibile che vengano visualizzati ulteriori risultati per la risorsa chiave.
AWS Lambda funzioni e livelli
Per quanto riguarda AWS Lambda le funzioni, IAM Access Analyzer analizza le policy, incluse le dichiarazioni di condizione contenute in una policy, che concedono l'accesso alla funzione a un'entità esterna. Con Lambda, puoi collegare policy basate sulle risorse univoche a funzioni, versioni, alias e livelli. Il Sistema di analisi degli accessi IAM riporta gli accessi esterni in base a policy basate sulle risorse collegate a funzioni e livelli. Il Sistema di analisi degli accessi IAM non riporta l'accesso esterno in base a policy basate su risorse collegate ad alias e versioni specifiche richiamate utilizzando un ARN completo.
Per ulteriori informazioni, consulta Using Resource-based policy for Lambda e Using versions nella Developer Guide. AWS Lambda
Code Amazon Simple Queue Service
Per le code Amazon SQS, Sistema di analisi degli accessi IAM analizza le policy, incluse le istruzioni di condizione in una policy che consentono a un'entità esterna di accedere a una coda.
AWS Secrets Manager segreti
Per quanto riguarda AWS Secrets Manager i segreti, IAM Access Analyzer analizza le policy, incluse le condizioni contenute in una policy, che consentono a un'entità esterna di accedere a un segreto.
Argomenti su Amazon Simple Notification Service
Sistema di analisi degli accessi IAM analizza le policy basate sulle risorse allegate agli argomenti di Amazon SNS, incluse le istruzioni delle condizioni nelle policy che consentono l'accesso esterno a un argomento. Puoi consentire agli account esterni di eseguire azioni Amazon SNS come la sottoscrizione e la pubblicazione di argomenti tramite una policy basata sulle risorse. Un argomento Amazon SNS è accessibile dall'esterno se i principali di un account esterno alla tua zona di fiducia possono eseguire operazioni sull'argomento. Se scegli Everyone nella tua policy quando crei un argomento Amazon SNS, rendi l'argomento accessibile al pubblico. AddPermission è un altro modo per aggiungere una policy basata sulle risorse a un argomento Amazon SNS che consente l'accesso esterno.
Volumi e snapshot di Amazon Elastic Block Store
Gli snapshot di volumi di Amazon Elastic Block Store non hanno policy basate sulle risorse. Uno snapshot viene condiviso tramite le autorizzazioni di condivisione di Amazon EBS. Per gli snapshot di volume Amazon EBS, Sistema di analisi degli accessi IAM analizza le liste di controllo degli accessi che consentono a un'entità esterna di accedere a uno snapshot. Se crittografato, uno snapshot di volume Amazon EBS può essere condiviso con account esterni. Uno snapshot di volume non crittografato può essere condiviso con account esterni e garantire l'accesso pubblico. Le impostazioni di condivisione sono nell'attributo CreateVolumePermissions dello snapshot. Quando i clienti visualizzano in anteprima l'accesso esterno di uno snapshot di Amazon EBS, possono specificare la chiave di crittografia come indicatore del fatto che lo snapshot è crittografato, in modo simile a come l'anteprima di Sistema di analisi degli accessi IAM gestisce i segreti di Gestione dei segreti.
Amazon Relational Database Service
Gli snapshot del database Amazon RDS non hanno policy basate su risorse. Uno snapshot del database viene condiviso tramite le autorizzazioni del database Amazon RDS e possono essere condivisi solo snapshot manuali del database. Per gli analizzatori di accesso esterni, IAM Access Analyzer analizza gli elenchi di controllo degli accessi che consentono a un'entità esterna di accedere a uno snapshot DB di Amazon RDS. Gli snapshot del database non crittografati possono essere pubblici. Gli snapshot del database crittografati non possono essere condivisi pubblicamente, ma possono essere condivisi con un massimo di altri 20 account. Per ulteriori informazioni, consulta Creazione di uno snapshot DB. Sistema di analisi degli accessi IAM considera la capacità di esportare uno snapshot manuale del database (ad esempio, in un bucket Amazon S3) come accesso attendibile.
Per gli analizzatori di accesso interni, IAM Access Analyzer genera un risultato quando un principale (utente o ruolo) all'interno dell'organizzazione o dell'account ha accesso a uno snapshot Amazon RDS DB specificato.
Nota
Sistema di analisi degli accessi IAM non identifica l'accesso pubblico o l'accesso multi-account configurato direttamente sul database stesso. Sistema di analisi degli accessi IAM identifica solo i risultati per l'accesso pubblico o l'accesso multi-account configurati nello snapshot del database di Amazon RDS.
Snapshot di cluster di database di Amazon Relational Database Service
Gli snapshot del cluster di database Amazon RDS non hanno policy basate su risorse. Uno snapshot viene condiviso tramite le autorizzazioni del cluster di database di Amazon RDS. Per gli analizzatori di accesso esterni, IAM Access Analyzer analizza gli elenchi di controllo degli accessi che consentono a un'entità esterna di accedere a uno snapshot del cluster Amazon RDS DB. Gli snapshot del cluster non crittografati possono essere pubblici. Gli snapshot del cluster crittografati non possono essere condivisi pubblicamente. Gli snapshot del cluster non crittografati e crittografati possono essere condivisi con al massimo altri 20 account. Per ulteriori informazioni, consulta la sezione Creating a DB Cluster Snapshot (Creazione di uno snapshot cluster database). Sistema di analisi degli accessi IAM considera la capacità di esportare uno snapshot del cluster di database (ad esempio, in un bucket Amazon S3) come accesso attendibile.
Per gli analizzatori di accesso interni, IAM Access Analyzer genera un risultato quando un principale (utente o ruolo) all'interno dell'organizzazione o dell'account ha accesso a uno snapshot del cluster Amazon RDS DB specificato.
Nota
I risultati di IAM Access Analyzer non includono il monitoraggio di alcuna condivisione di cluster e cloni di Amazon RDS DB con altri Account AWS utenti o organizzazioni. AWS Resource Access Manager Sistema di analisi degli accessi IAM identifica solo i risultati per l'accesso pubblico o l'accesso multi-account configurati nello snapshot del cluster di database di Amazon RDS.
Repository di Amazon Elastic Container Registry
Per i repository Amazon ECR, Sistema di analisi degli accessi IAM analizza le policy basate su risorse, incluse le istruzioni di condizione in una policy che consentono a un'entità esterna di accedere a un repository (in modo simile ad altri tipi di risorse come gli argomenti di Amazon SNS e i file system Amazon EFS). Per i repository Amazon ECR, un principale deve avere l'autorizzazione per ecr:GetAuthorizationToken tramite una policy basata sull'identità per essere considerato disponibile esternamente.
File system di Amazon Elastic File System
Per le code Amazon SQS, Sistema di analisi degli accessi IAM analizza le policy, incluse le istruzioni di condizione in una policy che consentono a un'entità esterna di accedere a una coda. Un file system Amazon EFS è accessibile dall'esterno se i principali di un account esterno alla tua zona di attendibilità possono eseguire operazioni su quel file system. L'accesso è definito da una policy del file system che utilizza IAM e da come viene montato il file system. Ad esempio, il montaggio del file system Amazon EFS in un altro account è considerato accessibile dall'esterno, a meno che tale account non si trovi nella tua organizzazione e tu non abbia definito l'organizzazione come la tua zona di attendibilità. Se monti il file system da un cloud privato virtuale con una sottorete pubblica, il file system sarà accessibile dall'esterno. Quando usi Amazon EFS con AWS Transfer Family, le richieste di accesso al file system ricevute da un server Transfer Family di proprietà di un account diverso dal file system vengono bloccate se il file system consente l'accesso pubblico.
Flussi Amazon DynamoDB
Per gli analizzatori di accesso esterni, IAM Access Analyzer genera un risultato se una policy DynamoDB consente almeno un'azione tra account che consenta a un'entità esterna di accedere a un flusso DynamoDB. Per ulteriori informazioni sulle azioni multi-account supportate per DynamoDB, consulta Azioni IAM supportate da policy basate sulle risorse nella Guida per gli sviluppatori di Amazon DynamoDB.
Per gli analizzatori di accesso interni, IAM Access Analyzer genera un risultato quando un principale (utente o ruolo) all'interno dell'organizzazione o dell'account ha accesso a un flusso DynamoDB specificato.
Tabelle Amazon DynamoDB
Per gli analizzatori di accesso esterni, IAM Access Analyzer genera un risultato per una tabella DynamoDB se una policy DynamoDB consente almeno un'azione tra account che consente a un'entità esterna di accedere a una tabella o a un indice DynamoDB. Per ulteriori informazioni sulle azioni multi-account supportate per DynamoDB, consulta Azioni IAM supportate da policy basate sulle risorse nella Guida per gli sviluppatori di Amazon DynamoDB.
Per gli analizzatori di accesso interni, IAM Access Analyzer genera un risultato quando un principale (utente o ruolo) all'interno dell'organizzazione o dell'account ha accesso a una tabella DynamoDB specificata.
